DeadBolt, nuevo ransomware contra dispositivos NAS de QNAP

QNAP ha emitido un comunicado instando a los usuarios de dispositivos NAS a tomar medidas inmediatas para evitar que sus dispositivos sean infectados por el nuevo ransomware.

Se ha detectado un nuevo malware llamado DeadBolt dirigido contra los dispositivos NAS (Network Attached Storage o Almacenamiento conectado a la red, en español) del proveedor taiwanés QNAP. Se trata de un ransomware que cifra los datos de los usuarios y solicita un rescate de 0,03 Bitcoins (aproximadamente 1.000 euros) para recuperarlos.

El ransomware estaría aprovechando una vulnerabilidad de día cero (0-day) no conocida por el fabricante. Los desarrolladores de este malware comunican en el mensaje de bloqueo mostrado tras la infección del dispositivo, que están dispuestos a vender a QNAP los detalles específicos de dicha vulnerabilidad por 5 Bitcoins (alrededor de 171.000 euros). También están dispuestos a ceder la clave maestra que permitiría descifrar los datos de todos los dispositivos afectados por 50 Bitcoins.

Desde QNAP Systems, Inc. se ha publicado una alerta de seguridad que insta a todos los usuarios de sus dispositivos NAS a seguir una serie de instrucciones para habilitar las protecciones de seguridad del dispositivo y actualizar inmediatamente el QTS a la última versión disponible.

Si el dispositivo NAS se encuentra expuesto a Internet y se puede acceder directamente al servicio de administración del sistema desde una dirección IP externa, se recomiendan aplicar las siguientes configuraciones:

· Deshabilitar la función de reenvío de puertos del enrutador
Desde la interfaz de administración del enrutador, en el apartado correspondiente a la configuración del Servidor virtual (Virtual Server), NAT o Reenvío de puertos (Port Forwarding) se debe deshabilitar la opción de reenvío de puertos del puerto del servicio de administración NAS (puerto 8080 y 443 de forma predeterminada).

· Desactivar la función de reenvío de puertos UPnP del NAS
Desde myQNAPcloud en el menú QTS, en el apartado «Configuración automática del enrutador» (Auto Router Configuration), desactivar la selección de «Habilitar el reenvío de puertos UPnP» (Enable UPnP Port forwarding).

Estas medidas deben ser tomadas a modo de prevención para evitar la infección de DeadBolt. Si el dispositivo NAS ya se encuentra afectado, actualizar a la última versión o restablecer la configuración de fábrica no eliminará el ransomware tal y como muchos usuarios están advirtiendo en los foros de soporte de QNAS.

Se recomienda aplicar las actualizaciones y configuraciones aconsejadas por el fabricante para evitar la infección de malware y la consecuente pérdida del contenido almacenado en el dispositivo NAS.

Más información:
Take Immediate Actions to Stop Your NAS from Exposing to the Internet, and Update QTS to the latest available version. Fight Against Ransomware Together
https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-stop-your-nas-from-exposing-to-the-internet-and-update-qts-to-the-latest-available-version-fight-against-ransomware-together

El ransomware Ech0raix se dirige a los dispositivos NAS de QNAP
https://unaaldia.hispasec.com/2022/01/el-ransomware-ech0raix-se-dirige-a-los-dispositivos-nas-de-qnap.html

QSnatch: miles de dispositivos NAS de QNAP infectados
https://unaaldia.hispasec.com/2019/11/qsnatch-miles-de-dispositivos-nas-de-qnap-infectados.html

La entrada DeadBolt, nuevo ransomware contra dispositivos NAS de QNAP se publicó primero en Una al Día.